Compartilhar via

Configurar a inscrição automatizada de dispositivos (ADE) para iOS/iPadOS

  • Artigo

Aplica-se ao iOS/iPadOS

Os dispositivos pertencentes à empresa comprados através do Apple Business Manager ou do Apple School Manager podem ser inscritos no Intune através da inscrição automatizada de dispositivos. Esta opção de inscrição aplica as definições da sua organização a partir do Apple Business Manager e do Apple School Manager e inscreve dispositivos sem ter de os tocar. Os iPhones e iPads podem ser enviados diretamente para funcionários e estudantes. Quando ligam os respetivos dispositivos, o Assistente de Configuração da Apple orienta-os através da configuração e inscrição.

Este artigo descreve como preparar e configurar a inscrição automatizada de dispositivos no Microsoft Intune.

Descrição geral das funcionalidades

A tabela seguinte mostra as funcionalidades e cenários suportados com a inscrição automatizada de dispositivos.

Recurso Use essa opção de registro quando
Você deseja o modo supervisionado. ✔️

O modo supervisionado implanta atualizações de software, restringe recursos, permite e bloqueia aplicativos e muito mais.
Os dispositivos forem de propriedade da organização ou da escola. ✔️
Você tem novos dispositivos. ✔️
For necessário registrar poucos dispositivos ou um grande número deles (registro em massa). ✔️
Os dispositivos estiverem associados a um só usuário. ✔️
Alguns dispositivos, como os de quiosque ou dedicados, não têm usuários. ✔️
Os dispositivos estão no modo de dispositivo partilhado. ✔️
Os dispositivos são pessoais ou byod (bring-your-own).

Não recomendado. As aplicações em dispositivos BYOD ou pessoais podem ser geridas através da MAM ou da inscrição de Utilizador e Dispositivo.
Os dispositivos forem gerenciados por outro provedor de MDM.

Se quiser gerir totalmente um dispositivo no Intune, os utilizadores têm de anular a inscrição no fornecedor de MDM atual e, em seguida, inscrevê-lo no Intune. Ou você pode usar o MAM para gerenciar aplicativos específicos no dispositivo. Uma vez que estes dispositivos pertencem à organização, recomendamos que os inscreva no Intune.
Você usar uma conta do DEM (gerenciador de registros de dispositivos).

A conta do DEM não é compatível.

Certificados

Este tipo de inscrição suporta o protocolo ACME (Automated Certificate Management Environment). Quando novos dispositivos são inscritos, o perfil de gestão do Intune recebe um certificado ACME. O protocolo ACME fornece uma melhor proteção do que o protocolo SCEP contra a emissão de certificados não autorizados através de mecanismos de validação robustos e processos automatizados, o que ajuda a reduzir os erros na gestão de certificados.

Os dispositivos já inscritos não recebem um certificado ACME, a menos que se inscrevam novamente no Microsoft Intune. O ACME é suportado em dispositivos com:

  • iOS 16.0 ou posterior

  • iPadOS 16.1 ou posterior

Pré-requisitos

Antes de criar o perfil de inscrição, tem de ter:

Antes de começar

Leia estes requisitos de inscrição e as melhores práticas para se preparar para uma configuração e implementação bem-sucedidas.

Escolher um método de autenticação

Antes de criar o perfil de inscrição, decida como pretende que os utilizadores se autentiquem nos respetivos dispositivos: através da aplicação Portal da Empresa do Intune, do Assistente de Configuração (legado) ou do Assistente de Configuração com autenticação moderna. Utilizar a aplicação Portal da Empresa ou o Assistente de Configuração com autenticação moderna é considerada autenticação moderna e tem funcionalidades como a autenticação multifator.

Intune também suporta o registo just-in-time (registo JIT) para o Assistente de Configuração com autenticação moderna, o que elimina a necessidade da aplicação Portal da Empresa para Microsoft Entra registo e conformidade. Para utilizar o registo JIT, tem de criar uma política de configuração de dispositivos antes de criar o perfil de inscrição da Apple e configurar o Assistente de Configuração com autenticação moderna.

O Assistente de Configuração com autenticação moderna é suportado em dispositivos com o iOS/iPadOS 13.0 e posterior. Os dispositivos iOS/iPadOS mais antigos fornecidos com este perfil irão, em vez disso, utilizar o Assistente de Configuração (legado) para autenticação.

Para obter mais informações sobre as opções de autenticação, veja Métodos de autenticação para a inscrição automática de dispositivos.

O que é o modo supervisionado?

O modo supervisionado fornece mais controlo de gestão sobre os dispositivos pertencentes à empresa, para que possa fazer coisas como bloquear capturas de ecrã e restringir o AirDrop.

Os dispositivos pertencentes à empresa com o iOS/iPadOS 11+ e inscritos através da inscrição automática de dispositivos devem estar sempre no modo supervisionado, o que pode ativar no perfil de inscrição. Para obter mais informações sobre o modo supervisionado, consulte Ativar o modo supervisionado do iOS/iPadOS. Microsoft Intune ignora o sinalizador is_supervised para dispositivos com o iOS/iPadOS 13.0 e posterior, porque estes dispositivos são automaticamente colocados no modo supervisionado no momento da inscrição.

Inscrever dispositivos no modo de dispositivo partilhado

Pode configurar a inscrição automatizada de dispositivos para dispositivos no modo de dispositivo partilhado. O modo de dispositivo partilhado é uma funcionalidade de Microsoft Entra ID que permite aos trabalhadores de primeira linha partilhar um único dispositivo ao longo do dia, iniciando e saindo conforme necessário. Para obter mais informações sobre como ativar a inscrição de dispositivos no modo de dispositivo partilhado Microsoft Entra, veja Inscrição automatizada de dispositivos para o modo de dispositivo partilhado.

Implementar a aplicação Portal da Empresa

Importante

Não recomendamos a utilização da versão App Store da aplicação Portal da Empresa porque não é compatível com a inscrição de dispositivos automatizada e não fornece as atualizações automáticas e a disponibilidade, tal como a implementação.

Implementar a aplicação Portal da Empresa do Intune através de Intune é a melhor forma de fornecer a aplicação aos utilizadores e a única forma de:

  • Certifique-se de que todos os dispositivos ADE, incluindo os já inscritos, recebem a aplicação.
  • Ative as atualizações automáticas de aplicações para o Portal da Empresa em dispositivos ADE.

Implemente a aplicação como uma aplicação VPP necessária com licenciamento de dispositivos. Para obter informações sobre como sincronizar, atribuir e gerir uma aplicação VPP, veja Atribuir uma aplicação comprada em volume.

Para ativar as atualizações automáticas de aplicações para Portal da Empresa, aceda às definições do token de aplicação no centro de administração e altere Atualizações automáticas da aplicação para Sim. Consulte Carregar um token de localização apple VPP ou Apple Business Manager para obter os passos para aceder às definições do token. Se não ativar as atualizações automáticas, o utilizador do dispositivo tem de marcar manualmente para as mesmas.

O teste de dispositivos é utilizado para fazer a transição de um dispositivo sem afinidade de utilizador para um dispositivo com afinidade de utilizador. Para preparar um dispositivo, configure a implementação VPP conforme descrito anteriormente nesta secção. Em seguida, configure e implemente uma política de configuração de aplicações. Certifique-se de que a política destina-se apenas a esses dispositivos ADE sem afinidade de utilizador.

Importante

Durante a inscrição inicial, o Intune envia automaticamente as definições da política de configuração da aplicação para dispositivos inscritos com o Assistente de Configuração com autenticação moderna, configurada na aplicação Configurar a Portal da Empresa para suportar dispositivos iOS e iPadOS inscritos na Inscrição Automática de Dispositivos, quando a definição de perfil de inscrição Instalar Portal da Empresa está definido como sim. Esta configuração não deve ser implementada manualmente para os utilizadores porque causará um conflito com a configuração enviada durante a inscrição inicial. Se ambos forem implementados, Intune pedirá incorretamente aos utilizadores do dispositivo que iniciem sessão no Portal da Empresa e transfiram um perfil de gestão que já tenham instalado.

Limites

  • Máximo de perfis de inscrição por token: 1000
  • Máximo de dispositivos de Inscrição de Dispositivos Automatizados por perfil: 200 000 (o mesmo que o número máximo de dispositivos por token).
  • Máximo de tokens de Inscrição de Dispositivos Automatizados por conta Intune: 2000
  • Máximo de dispositivos de Inscrição de Dispositivos Automatizados por token: 200 000
    • Recomendamos que não exceda 200 000 dispositivos por token. Caso contrário, poderá ter problemas de sincronização. Se você tiver mais de 200 mil dispositivos, divida-os em vários tokens ADE.
    • O Apple Business Manager e o Apple School Manager sincronizam cerca de 3.000 dispositivos com Intune por minuto. Recomendamos que mantenha a sincronização manual do centro de administração novamente até que passe tempo suficiente para que todos os dispositivos terminem a sincronização (número total de dispositivos/3000 dispositivos por minuto).

Solucionar problemas de registro

Se tiver problemas de sincronização durante o processo de registro, procure soluções em Solucionar problemas de registro de dispositivo iOS/iPadOS.

Obter um token de inscrição de dispositivos automatizado da Apple

Antes de poder inscrever dispositivos iOS/iPadOS com a ADE, precisa de um token de inscrição de dispositivos automatizado (ficheiro .p7m) da Apple. Este token permite Intune sincronizar informações sobre os dispositivos ADE que a sua organização possui. Ele também permite que o Intune carregue perfis de registro para a Apple e atribua dispositivos a esses perfis.

Utilize o Apple Business Manager (ABM) ou o Apple School Manager (ASM) para criar um token e atribuir dispositivos a Intune para gestão.

Observação

Pode utilizar qualquer um dos portais da Apple para ativar o ADE. O resto deste artigo refere-se ao Apple Business Manager, mas os passos são os mesmos para o Apple School Manager.

Etapa 1: Baixar o certificado de chave pública do Intune

  1. No centro de administração do Microsoft Intune, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Selecione Tokens do Programa de Registro>Adicionar.

  4. Na guia Noções Básicas:

    1. Selecione Concordo em conceder permissão à Microsoft para enviar informações de utilizadores e dispositivos para a Apple.

      Captura de tela que mostra a tela Adicionar token do programa de registro.

    2. Selecione Baixar o certificado de chave pública do Intune necessário para criar o token. Esta etapa baixa e salva o arquivo da chave de criptografia (.pem) localmente. O arquivo .pem é usado para solicitar um certificado de relação de confiança do portal do Apple Business Manager.

      Mais tarde, no Passo 2: aceda ao portal do Apple Business Manager, carregue este ficheiro .pem no Apple Business Manager.

    3. Mantenha esta guia e a página do navegador da web abertas. Se você fechar a guia:

      • O certificado que você baixou foi invalidado.
      • Você precisará repetir as etapas.
      • Na guia Rever + criar, o botão Criar ficará indisponível e você não poderá concluir esse procedimento.

Etapa 2: Ir para o portal do Apple Business Manager

Use o portal do Apple Business Manager para criar e renovar seu token ADE (servidor MDM). Esse token é adicionado ao Intune e estabelece a comunicação entre o Intune e a Apple.

Observação

As etapas a seguir descrevem o que você precisa fazer no Apple Business Manager. Para obter as etapas específicas, consulte a documentação da Apple. O Guia de Utilizador do Apple Business Manager (no site da Apple) pode ser útil.

Baixar o token da Apple

  1. No Apple Business Manager, entre com a ID da Apple de sua empresa.

  2. Neste portal, conclua os seguintes passos:

    • Em configurações, são mostrados todos os tokens. Adicione um servidor MDM e carregue o certificado de chave pública (arquivo.pem) que você baixou do Intune na Etapa 1: Baixar o certificado de chave pública do Intune (neste artigo).

      Use o nome do servidor para identificar o servidor de gerenciamento de dispositivo móvel (MDM). Não é o nome ou URL do serviço Microsoft Intune.

    • Após salvar o servidor MDM, selecione-o e baixe o token (arquivo .p7m). Mais tarde, no Passo 4: Carregue o token e termine, carregue o token .p7m no Intune.

Atribuir dispositivos ao token da Apple (servidor MDM)

  1. Em Apple Business Manager>Dispositivos, selecione os dispositivos que deseja atribuir a esse token. Você pode classificar de acordo com várias propriedades do dispositivo, como o número de série. Você também pode selecionar vários dispositivos simultaneamente.
  2. Edite o gerenciamento de dispositivos e selecione o servidor MDM que você acabou de adicionar. Esta etapa atribui dispositivos ao token.

Etapa 3: Salvar a ID da Apple

  1. No browser, volte ao separador que contém a página adicionar token do programa de inscrição Microsoft Intune, onde começou no Passo 1: Transferir o certificado de chave pública Intune.

  2. Em ID da Apple, insira sua ID. Esta etapa salva a ID. Ela poderá ser usada no futuro.

    Captura de tela que mostra a caixa ID da Apple na guia Básico.

Etapa 4: Carregar seu token e finalizar

  1. Em Token da Apple, navegue até o arquivo de certificado .p7m e selecione Abrir.

    Dica

    Transferiu o token no Passo 2: aceda ao portal do Apple Business Manager.

  2. Selecione Avançar.

  3. Na guia Rever + criar selecione Criar.

Com o certificado por push, o Intune pode registrar e gerenciar dispositivos iOS/iPadOS enviando por push políticas para os dispositivos móveis registrados. O Intune sincroniza automaticamente com a Apple para acessar sua conta do programa de registro.

Criar um perfil de registro da Apple

Agora que instalou o token, pode criar um perfil de inscrição para a inscrição automática de dispositivos. Um perfil de registro de dispositivo define as configurações aplicadas a um grupo de dispositivos durante o registro. Existe um limite de 1000 perfis de inscrição por token de inscrição.

Observação

A inscrição de dispositivos será bloqueada se não existirem licenças Portal da Empresa suficientes para um token VPP ou se o token expirar. O Intune alerta quando um token está prestes a expirar ou as licenças estão acabando.

  1. No Microsoft Intune centro de administração, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Selecione Tokens do Programa de Inscrição.

  4. Escolha um token e, em seguida, selecione Perfis.

  5. Selecione Criar perfil>iOS/iPadOS.

  6. Para Noções básicas, dê ao perfil um Nome e Descrição para fins administrativos. Os usuários não veem esses detalhes.

  7. Selecione Avançar.

    Importante

    Se fizer alterações a um perfil de inscrição existente, as novas definições não entrarão em vigor nos dispositivos atribuídos até que os dispositivos sejam repostos para as definições de fábrica e reativados. A definição do modelo de nome de dispositivo é a única definição que pode alterar que não requer uma reposição de fábrica para entrar em vigor. As alterações ao modelo de nomenclatura entrarão em vigor no próximo marcar de entrada.

  8. Na lista Afinidade de Usuário, selecione uma opção que determina se dispositivos com esse perfil devem ser registrados com ou sem um usuário atribuído.

    • Inscrever com Afinidade de Utilizador: selecione esta opção para dispositivos que pertençam a utilizadores que pretendam utilizar o Portal da Empresa para serviços como a instalação de aplicações.

    • Inscrever sem Afinidade de Utilizador: selecione esta opção para dispositivos que não estejam afiliados a um único utilizador. Use esta opção para dispositivos que não acessam dados de usuário local. Esta opção é normalmente usada para quiosque, POS (ponto de venda) ou dispositivos de utilitário compartilhado.

      Em algumas situações, poderá querer associar um utilizador principal a dispositivos inscritos sem afinidade de utilizador. Para executar essa tarefa, você pode enviar a chave IntuneUDAUserlessDevice para o aplicativo Portal da Empresa em uma política de configuração de aplicativo para dispositivos gerenciados. O primeiro usuário que entrar no aplicativo Portal da Empresa é estabelecido como o usuário primário. Se o primeiro usuário sair e um segundo entrar, o primeiro continuará sendo o usuário primário do dispositivo. Para obter mais informações, confira o artigo Configurar o aplicativo Portal da Empresa para dar suporte a dispositivos de ADE com iOS e iPadOS.

    • Inscrever com Microsoft Entra ID modo partilhado: selecione esta opção para inscrever dispositivos que estarão no modo partilhado.

  9. Se tiver selecionado Inscrever com Afinidade de Utilizador para o campo Afinidade de Utilizador , tem de escolher o método de autenticação que os funcionários têm de utilizar. Para obter mais informações sobre cada método de autenticação, veja Métodos de autenticação para a inscrição automatizada de dispositivos.

    Captura de tela das opções do método de autenticação.

    Suas opções:

    • Portal da Empresa
    • Assistente de Configuração (legado)
    • Assistente de Configuração com autenticação moderna

  10. Se selecionou Assistente de Configuração (legado) para o método de autenticação, mas também quer utilizar o Acesso Condicional ou implementar aplicações da empresa nos dispositivos, tem de instalar Portal da Empresa nos dispositivos e iniciar sessão para concluir o registo Microsoft Entra. Para isso, selecione Sim para Instalar o Portal da Empresa. Se quiser que os utilizadores recebam Portal da Empresa sem terem de se autenticar no App Store, em Instalar Portal da Empresa com VPP, selecione um token VPP. Verifique se o token não expira e se você tem licenças de dispositivo suficientes para que o aplicativo Portal da Empresa seja implantado corretamente.

  11. Se você selecionou um token para Instalar o Portal da Empresa com o VPP, pode bloquear o dispositivo no Modo de Aplicativo Único (especificamente, o aplicativo Portal da Empresa) logo após a conclusão do Assistente de Configuração. Selecione Sim para Executar Portal da Empresa no Modo de Aplicativo Único até a autenticação para definir essa opção. Para utilizar o dispositivo, o utilizador tem primeiro de se autenticar ao iniciar sessão no Portal da Empresa.

    Observação

    Não há suporte para a autenticação multifator em um dispositivo único bloqueado no Modo de Aplicativo Único. Essa limitação existe porque o dispositivo não pode alternar para um aplicativo diferente a fim de concluir o segundo fator de autenticação. Se você quiser ter autenticação multifator em um dispositivo no Modo de Aplicativo Único, o segundo fator precisará estar em um dispositivo diferente.

    Esse recurso tem suporte somente no iOS/iPadOS 11.3.1 e posteriores.

    Captura de tela que mostra a opção Executar Portal da Empresa no Modo de Aplicativo Único.

  12. Se pretender que os dispositivos que utilizam este perfil sejam supervisionados, selecione Sim na lista Supervisionado .

    Captura de tela que mostra a opção Supervisionado.

    Os dispositivos supervisionados permitem mais opções de gerenciamento e desabilitam o Bloqueio de Ativação por padrão. A Microsoft recomenda usar o ADE como o mecanismo para habilitar o modo supervisionado, especialmente se você estiver implantando grandes números de dispositivos iOS/iPadOS. Os dispositivos Apple Shared iPad for Business precisam ser supervisionados.

    Os utilizadores são notificados de que os respetivos dispositivos são supervisionados na aplicação Definições . Na aplicação na parte superior do ecrã, uma mensagem estática indica-lhes Este iPhone é supervisionado e gerido pelo <your organization>.

    Observação

    Se um dispositivo estiver registrado sem supervisão, você precisará usar o Apple Configurator para configurá-lo como supervisionado. Para redefinir o dispositivo dessa forma, você precisa conectá-lo a um Mac com um cabo USB. Para saber mais, confira a Ajuda do Apple Configurator.

  13. Na lista Registro Bloqueado, selecione Sim ou Não. A inscrição bloqueada desativa as definições do iOS/iPadOS que permitem remover o perfil de gestão. Se ativar a inscrição bloqueada, o botão na aplicação Definições que permite aos utilizadores remover um perfil de gestão será ocultado e os utilizadores não poderão anular a inscrição do respetivo dispositivo. Se estiver a configurar dispositivos no modo partilhado Microsoft Entra ID, selecione Sim.

    A inscrição bloqueada funciona de forma um pouco diferente, inicialmente, em dispositivos não adquiridos originalmente através do Apple Business Manager, mas posteriormente adicionados para fazerem parte da inscrição automatizada de dispositivos: os utilizadores nestes dispositivos podem ver o botão remover gestão na aplicação Definições nos primeiros 30 dias após a ativação do dispositivo. Após esse período provisório, esta opção é ocultada. Para obter mais informações, consulte Preparar dispositivos manualmente (abre documentos de Ajuda do Apple Configurator).

    Importante

    Esta definição é diferente das opções de remoção e reposição na aplicação Portal da Empresa. Independentemente de como configurar a inscrição bloqueada, as opções Remover Dispositivo ou Reposição de Fábrica na aplicação Portal da Empresa permanecem indisponíveis nos dispositivos inscritos através da inscrição automática de dispositivos. Os utilizadores também não poderão remover o dispositivo no site Portal da Empresa. Para obter mais informações sobre as ações self-service disponíveis em dispositivos inscritos, veja Self-service actions (Ações self-service).

  14. Se você selecionou Registrar sem Afinidade de Usuário e Supervisionado nas etapas anteriores, precisa decidir se deseja configurar os dispositivos para serem Dispositivos Apple Shared iPad for Business. Selecione Sim para Shared iPad para permitir que vários usuários entrem em um único dispositivo. Os utilizadores autenticam-se através dos respetivos IDs Apple Geridos e contas de autenticação federadas ou através de uma sessão temporária (como a conta de Convidado). Esta opção exige o iOS/iPadOS 13.4 ou posterior. Com o Shared iPad, todos os painéis do Assistente de Instalação são ignorados automaticamente após a ativação.

    Observação

    • Um apagamento de dispositivo será necessário se um perfil de registro de iOS/iPadOS com o Shared iPad habilitado for enviado para um dispositivo sem suporte. Os dispositivos sem suporte incluem modelos de iPhone e iPads executando o iPadOS/iOS 13.3 e anteriores. Os dispositivos com suporte incluem iPads executando o iPadOS 13.3 e posteriores.
    • Se quiser configurar o Apple Shared iPad for Business, defina as seguintes configurações:
      • Na lista Afinidade de Usuário, selecione Registrar sem Afinidade de Usuário.
      • Na lista Supervisionado, selecione Sim.
      • Na lista do Shared iPad, selecione Sim.

    Se estiver configurando o Apple Shared iPad for Business, configure também:

    • Máximo de usuários armazenados em cache: insira o número de usuários que você acredita que usarão o Shared iPad. Você pode armazenar em cache até 24 usuários em um dispositivo de 32 ou de 64 GB. Se você escolher um número baixo, poderá levar algum tempo para que os dados dos usuários sejam exibidos nos dispositivos após entrarem. Se você escolher um número alto, seus usuários poderão ficar sem espaço em disco.

    • Máximo de segundos após o bloqueio de ecrã antes de a palavra-passe ser exigida: introduza o período de tempo em segundos. Os valores aceites incluem: 0, 60, 300, 900, 3600 e 14400. Se o bloqueio de tela exceder este tempo, uma senha de dispositivo será necessária para desbloquear o dispositivo. Disponível para dispositivos no modo Shared iPad executando o iPadOS 13.0 e posterior.

    • Máximo de segundos de inatividade até que a sessão do usuário seja desconectada: o valor mínimo permitido para essa configuração é 30. Se não houver atividade após o período definido, a sessão do utilizador termina e termina a sessão do utilizador. Se deixar a entrada em branco ou a definir como zero (0), a sessão nunca terminará devido a inatividade. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

    • Solicitar somente sessão temporária do iPad Compartilhado: configura o dispositivo para que os usuários vejam apenas a versão de convidado da experiência de entrada e devem entrar como convidados. Não podem entrar com uma ID gerenciada da Apple. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

      Quando definida como Sim, esta definição cancela as seguintes definições de iPad partilhado, uma vez que não são aplicáveis em sessões temporárias:

      • Máximo de usuários armazenados em cache
      • Máximo de segundos após o bloqueio da tela antes que a senha seja solicitada
      • Máximo de segundos de inatividade até que a sessão do usuário seja desconectada

    • Máximo de segundos de inatividade até que a sessão temporária seja desconectada: o valor mínimo permitido para essa configuração é 30. Se não houver atividade após o período definido, a sessão temporária termina e termina a sessão do utilizador. Se deixar a entrada em branco ou a definir como zero (0), a sessão nunca terminará devido a inatividade. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

      Esta configuração estará disponível quando a configuração Requerer apenas uma sessão Shared iPad temporária estiver definida como Sim.

    Observação

    • Se as sessões temporárias estiverem habilitadas, todos os dados do usuário serão excluídos quando saírem da sessão. Isso significa que todas as políticas e aplicativos visados chegarão ao usuário quando ele entrar e serão apagados quando sair.
    • Para alterar uma configuração de iPads compartilhados para não ter sessões temporárias, o dispositivo precisará ser totalmente redefinido e um novo perfil de registro com as configurações atualizadas precisará ser enviado para o iPad.

  15. Na lista Sincronizar com computadores, selecione uma opção para os dispositivos que usam esse perfil. Se selecionar Permitir Apple Configurator por certificado, você precisará selecionar um certificado em Certificados do Apple Configurator.

    Observação

    Se você definir Sincronizar com computadores como Negar todos, a porta ficará limitada nos dispositivos iOS e iPadOS. A porta será limitada somente ao carregamento. Ela será impedida de usar o iTunes ou o Apple Configurator 2.

    Se você definir Sincronizar com computadores como Permitir o Apple Configurator por certificado, tenha uma cópia local do certificado que você possa usar posteriormente. Você não conseguirá fazer alterações na cópia carregada, e é importante manter uma cópia desse certificado. Se quiser ligar-se ao dispositivo iOS/iPadOS a partir de um dispositivo Mac, o mesmo certificado tem de ser instalado no dispositivo que faz a ligação ao dispositivo iOS/iPadOS.

  16. Se você selecionou Permitir Apple Configurator por certificado na etapa anterior, escolha um certificado em Certificados do Apple Configurator para importar. O limite é de 10 certificados.

  17. Para Aguardar configuração final, as suas opções são:

    • Sim: ative uma experiência bloqueada no final do Assistente de Configuração para garantir que as políticas de configuração de dispositivos mais críticas estão instaladas no dispositivo. Imediatamente antes de o ecrã principal ser carregado, o Assistente de Configuração é colocado em pausa e permite que Intune marcar com o dispositivo. A experiência do utilizador final bloqueia enquanto os utilizadores aguardam configurações finais.

      A quantidade de tempo que os utilizadores são mantidos no ecrã Aguardar configuração final varia e depende do número total de políticas e aplicações que aplicar ao dispositivo. Quanto mais políticas e aplicações forem atribuídas ao dispositivo, mais tempo de espera será. O Assistente de Configuração e Microsoft Intune não impõem um limite de tempo mínimo ou máximo durante esta parte da configuração. Durante a validação do produto, a maioria dos dispositivos que testámos foram libertados e conseguiram aceder ao ecrã principal no prazo de 15 minutos. Se ativar esta funcionalidade e estiver a utilizar alguém fora da Microsoft para o ajudar a aprovisionar dispositivos, informe-o sobre o potencial de aumento do tempo de aprovisionamento.

      Observação

      Apenas as políticas de configuração de dispositivos começam a ser instaladas durante o ecrã de configuração final que aguarda e as aplicações não estão incluídas neste.

      A experiência bloqueada funciona em dispositivos direcionados com perfis de inscrição novos e existentes. Os dispositivos com suporte incluem:

      • Dispositivos iOS/iPadOS 13+ inscritos com o Assistente de Configuração com autenticação moderna
      • Dispositivos iOS/iPadOS 13+ inscritos sem afinidade de utilizador
      • Dispositivos iOS/iPadOS 13+ inscritos com Microsoft Entra ID modo partilhado

      Esta definição é aplicada uma vez durante a experiência de inscrição automática de dispositivos no Assistente de Configuração. O utilizador do dispositivo não volta a experimentá-lo, a menos que volte a inscrever o dispositivo. Sim é a predefinição para novos perfis de inscrição.

    • Não: o dispositivo é lançado para o ecrã principal quando o Assistente de Configuração termina, independentemente da instalação da política status. Os utilizadores do dispositivo poderão aceder ao ecrã principal ou alterar as definições do dispositivo antes de todas as políticas serem instaladas. Não é a predefinição para perfis de inscrição existentes.

    A definição de configuração a aguardar não está disponível em perfis com esta combinação de configurações:

    • Afinidade de utilizador: inscrever sem afinidade de utilizador (Passo 6 nesta secção)
    • IPad partilhado: Sim (Passo 12 nesta secção)

  18. Opcionalmente, crie um modelo de nome de dispositivo para identificar rapidamente os dispositivos atribuídos a este perfil no centro de administração. Intune utiliza o seu modelo para criar e formatar nomes de dispositivos. Os nomes são atribuídos aos dispositivos quando se inscrevem e em cada marcar sucessiva. Para criar um modelo:

  19. Em Aplicar modelo de nome de dispositivo, selecione Sim .

  20. Na caixa Modelo de Nome do Dispositivo , introduza o modelo que pretende utilizar para construir nomes de dispositivos. O modelo pode incluir o tipo de dispositivo e o número de série. Não pode conter mais de 63 carateres, incluindo as variáveis. Exemplo: {{DEVICETYPE}}-{{SERIAL}}

  21. Você pode ativar um plano de dados de celular. Essa configuração se aplica a dispositivos que executam iOS/iPadOS 13.0 e posterior. A configuração desta opção envia um comando para ativar os planos de dados via rede móvel para os seus dispositivos celulares com capacidade para eSim. Sua operadora deve provisionar ativações para seus dispositivos antes que você possa ativar planos de dados usando este comando. Para ativar o plano de dados via rede móvel, selecione Sim e, em seguida, introduza o URL do servidor de ativação da sua operadora.

  22. Selecione Avançar.

  23. Na guia Assistente de Configuração, defina as seguintes configurações de perfil:

    Configuração do departamento Descrição
    Departamento Aparece quando os usuários tocam em Sobre a Configuração durante a ativação.
    Telefone do Departamento Aparece quando os usuários tocam no botão Precisa de Ajuda durante a ativação.

    Pode ocultar os ecrãs do Assistente de Configuração no dispositivo durante a configuração do utilizador. Para obter uma descrição de todos os ecrãs, consulte Referência de ecrã do Assistente de Configuração (neste artigo).

    • Se selecionar Ocultar, o ecrã não é apresentado durante a configuração. Após configurar o dispositivo, o usuário continua podendo acessar o menu Configurações para configurar o recurso.
    • Se selecionar Mostrar, o ecrã é apresentado durante a configuração, mas apenas se existirem passos para concluir após o restauro ou após a atualização de software. Às vezes, os usuários podem ignorar a tela sem executar nenhuma ação. Podem acessar o menu Configurações do dispositivo mais tarde para configurar o recurso.
    • Com o Shared iPad, todos os painéis do Assistente de Instalação são ignorados automaticamente após a ativação, independentemente da configuração.

  24. Selecione Avançar.

  25. Selecione Criar para salvar o perfil.

Grupos dinâmicos no Microsoft Entra ID

Pode utilizar o campo Nome da inscrição para criar um grupo dinâmico no Microsoft Entra ID. Para obter mais informações, veja Microsoft Entra grupos dinâmicos.

Você pode usar o nome do perfil para definir o parâmetro enrollmentProfileName e atribuir dispositivos com este perfil de registro.

Antes da configuração do dispositivo e para garantir a entrega rápida a dispositivos com afinidade de utilizador, certifique-se de que o utilizador inscrito é membro de um grupo de utilizadores Microsoft Entra.

Se você atribuir grupos dinâmicos a perfis de registro, poderá haver um atraso no fornecimento de aplicativos e políticas para dispositivos após o registro.

Referência de ecrã do Assistente de Configuração

A tabela seguinte descreve os ecrãs do Assistente de Configuração apresentados durante a inscrição automatizada de dispositivos para iOS/iPadOS. Pode mostrar ou ocultar estes ecrãs em dispositivos suportados durante a inscrição. Para obter mais informações sobre como cada ecrã do Assistente de Configuração afeta a experiência do utilizador, consulte estes recursos da Apple:

Ecrã assistente de configuração O que acontece quando visível
Senha Mostra o código de acesso e o painel de bloqueio de palavra-passe aos utilizadores e pede aos utilizadores um código de acesso. Exigir sempre um código de acesso para dispositivos não seguro, a menos que o acesso seja controlado de outra forma (por exemplo, através de uma configuração do modo de quiosque que restringe o dispositivo a uma aplicação). Este ecrã está disponível para iOS/iPadOS 7.0 e posterior, com algumas limitações. Para obter mais informações, veja Limitações neste artigo.
Serviços de Localização Mostra o painel de configuração dos serviços de localização, onde os utilizadores podem ativar os serviços de localização nos respetivos dispositivos. Para iOS/iPad 7.0 e posterior.
Restaurar Mostra o painel de configuração de aplicações e dados. Neste ecrã, os utilizadores que configuram dispositivos podem restaurar ou transferir dados a partir da Cópia de Segurança do iCloud. Para iOS/iPad 7.0 e posterior.
ID Apple Mostra o painel de configuração do Apple ID, que dá aos utilizadores a opção de iniciar sessão com o ID Apple e utilizar o iCloud. Para iOS/iPad 7.0 e posterior.
Termos e condições Mostra o painel de termos e condições da Apple e requer que os utilizadores os aceitem. Para iOS/iPad 7.0 e posterior.
Touch ID e Face ID Mostra o painel de configuração biométrica, que dá aos utilizadores a opção de configurar a identificação por impressão digital ou facial nos respetivos dispositivos. Para iOS/iPadOS 8.1 e posterior, com algumas limitações. Para obter mais informações, veja Limitações neste artigo.
Apple Pay Mostra o painel de configuração do Apple Pay, que dá aos utilizadores a opção de configurar o Apple Pay nos seus dispositivos. Para iOS/iPad 7.0 e posterior.
Ampliar Mostra o painel de configuração do zoom, que dá aos utilizadores a opção de configurar as definições de zoom. Para iOS/iPadOS 8.3 e posterior e preterido no iOS/iPadOS 17.
Siri Mostra o painel de configuração da Siri aos utilizadores. Para iOS/iPad 7.0 e posterior.
Dados de Diagnóstico Mostra o painel diagnóstico onde os utilizadores podem optar por enviar dados de diagnóstico para a Apple. Para iOS/iPad 7.0 e posterior.
Tom da Tela Mostra o painel de configuração do tom de apresentação, onde os utilizadores podem configurar as definições de equilíbrio branco do ecrã. Para iOS/iPadOS 9.3.2 e posterior e preterido no iOS/iPadOS 15.
Privacidade Mostra o painel de configuração de privacidade ao utilizador. Para iOS/iPadOS 11.3 e posterior.
Migração do Android Mostra um painel de configuração destinado a utilizadores anteriores do Android. Neste ecrã, os utilizadores podem migrar dados de um dispositivo Android. Para iOS/iPadOS 9.0 e posterior.
iMessage e FaceTime Mostra o painel de configuração para iMessage e FaceTime. Para iOS/iPadOS 9.0 e posterior.
Integração Mostra ecrãs informativos de inclusão para educação de utilizadores, como Folha de Rosto e Multitasking e Centro de Controlo. Para iOS/iPadOS 11.0 e posterior.
Tempo de Tela Mostra o ecrã Tempo de Ecrã. Para iOS/iPadOS 12.0 e posterior.
Configuração do SIM Mostra o painel de configuração da rede móvel, onde os utilizadores podem adicionar um plano de rede móvel. Para iOS/iPadOS 12.0 e posterior.
Atualização de Software Mostra o ecrã de atualização de software obrigatório. Para iOS/iPadOS 12.0 e posterior.
Migração de Relógio Mostra o painel de migração Apple Watch, onde os utilizadores podem migrar dados de um Apple Watch. Para iOS/iPadOS 11.0 e posterior.
Aparência Mostra o painel de configuração do aspeto. Para iOS/iPadOS 13.0 e posterior.
Migração de Dispositivo para Dispositivo Mostra o painel de migração dispositivo a dispositivo. Neste ecrã, os utilizadores podem transferir dados de um dispositivo antigo para o dispositivo atual. A opção para transferir dados diretamente de um dispositivo não está disponível para dispositivos com o iOS 13 ou posterior.
Restauração Concluída Mostra aos usuários a tela Restauração Concluída após a realização de um backup e restauração durante o Assistente de Configuração.
Atualização de Software Concluída Mostra aos utilizadores todas as atualizações de software que ocorrem durante o Assistente de Configuração.
Introdução Mostra aos usuários a tela de boas-vindas de Introdução.
Termos de Endereço Mostra o painel de termos de endereço, que dá aos utilizadores a opção de escolher como querem ser abordados em todo o sistema: feminino, masculino ou neutro. Esta funcionalidade da Apple está disponível para idiomas selecionados. Para obter mais informações, consulte Funcionalidades Principais e Melhoramentos (abre o site da Apple). Para iOS/iPadOS 16.0 e posterior.
SOS de Emergência Mostra o painel de configuração de segurança. Para iOS/iPadOS 16.0 e posterior.
Botão de ação Mostra o painel de configuração do botão de ação. Para iOS/iPadOS 17.0 e posterior.
Inteligência Mostra o painel de configuração do Apple Intelligence, onde os utilizadores podem configurar as funcionalidades do Apple Intelligence. Para iOS/iPadOS 18.0 e posterior.

Sincronizar dispositivos gerenciados

Agora que o Intune tem permissão para gerenciar seus dispositivos, você pode sincronizar o Intune com a Apple para ver os dispositivos gerenciados no Intune no Portal do Azure.

  1. No Microsoft Intune centro de administração, aceda aInscrição de Dispositivos>.

  2. Selecione o separador Apple .

  3. Selecione Tokens do Programa de Inscrição.

  4. Selecione um token na lista e, em seguida, selecioneSincronização de Dispositivos>.

    Captura de tela que mostra como sincronizar dispositivos iOS e iPadOS com um token do programa de registro.

    Para cumprir os termos da Apple com relação ao tráfego aceitável do programa de registro, o Intune impõe as seguintes restrições:

    • Uma sincronização completa pode ser executada, no máximo, uma vez a cada sete dias. Durante uma sincronização completa, o Intune busca a lista atualizada completa de números de série atribuídos ao servidor Apple MDM conectado ao Intune.

      Importante

      Se um dispositivo for excluído do Intune, mas permanecer atribuído ao token de inscrição ADE no portal ASM/ABM, ele reaparecerá no Intune na próxima sincronização completa. Se você não quiser que o dispositivo reapareça no Intune, cancele a atribuição do servidor Apple MDM no portal ABM/ASM.

    • Se um dispositivo for liberado do ABM/ASM, poderá levar até 45 dias para que ele seja excluído automaticamente da página de dispositivos no Intune. Se necessário, você pode excluir manualmente e de forma individual os dispositivos liberados do Intune. Os dispositivos lançados são comunicados com precisão como sendo removidos da ABM/ASM no Intune até serem eliminados automaticamente no prazo de 30 a 45 dias.
    • A sincronização delta é executada automaticamente a cada 12 horas. Você também pode disparar uma sincronização delta selecionando o botão Sincronizar (no máximo uma vez a cada 15 minutos). Todos os pedidos de sincronização têm 15 minutos para serem concluídos. O botão Sincronizar fica inativo até a sincronização estar concluída. A sincronização atualiza o dispositivo existente status e importa novos dispositivos atribuídos ao servidor MDM da Apple. Se uma sincronização delta falhar por algum motivo, a sincronização seguinte será uma sincronização completa e poderá resolve quaisquer problemas.

Atribuir um perfil de registro aos dispositivos

Antes de os dispositivos poderem ser inscritos, tem de lhes atribuir um perfil de inscrição.

Observação

Você também pode atribuir números de série aos perfis no painel Números de Série da Apple.

  1. No Microsoft Intune centro de administração, aceda aInscrição de Dispositivos>.
  2. Selecione o separador Apple .
  3. Selecione Tokens do programa de inscrição.
  4. Selecione um token de inscrição.
  5. Selecione Dispositivos.
  6. Selecione todos os dispositivos que pretende atribuir e, em seguida, selecione Atribuir perfil.
  7. Em Atribuir perfil, selecione o perfil de inscrição de dispositivos automatizado que criou para os dispositivos e, em seguida, selecione Atribuir.

Atribuir um perfil padrão

Você pode escolher um perfil padrão a ser aplicado a todos os dispositivos que forem registrados com um token específico.

  1. No centro de administração, regresse aos tokens do programa de inscrição.
  2. Selecione um token de inscrição.
  3. Selecione Predefinir Perfil.
  4. Selecione um perfil na lista e, em seguida, selecione Guardar. A partir daqui, Intune aplica o perfil a todos os dispositivos que se inscrevem com o token de inscrição selecionado.

Observação

Verifique se as Restrições de Tipos de Dispositivos em Restrições de Registro não têm a política padrão Todos os Usuários definida para bloquear a plataforma iOS/iPadOS. Essa configuração causará falha no registro automatizado e seu dispositivo será exibido como Perfil Inválido, independentemente do atestado do usuário. Para permitir o registro somente por dispositivos gerenciados pela empresa, bloqueie somente dispositivos de propriedade pessoal, o que permitirá que os dispositivos corporativos se registrem. A Microsoft define um dispositivo corporativo como um dispositivo registrado por meio de um Programa de registro de dispositivos ou de um dispositivo inserido manualmente em Identificadores de dispositivos corporativos.

Distribuir dispositivos

Você habilitou o gerenciamento e a sincronização entre a Apple e o Intune e atribuiu um perfil para que os dispositivos do ADE possam ser registrados. Você está pronto para distribuir dispositivos para os usuários. Algumas coisas que você precisa saber:

  • Para utilizar dispositivos inscritos com afinidade de utilizador, os utilizadores têm de ter uma licença Intune atribuída.

  • Os dispositivos registrados sem afinidade de usuário normalmente não têm nenhum usuário associado. Esses dispositivos precisam ter uma licença de dispositivo do Intune. Se um dispositivo sem afinidade de utilizador for utilizado por um utilizador Intune licenciado, não é necessária uma licença de dispositivo.

    Para resumir, se um dispositivo tiver um usuário, o usuário precisará ter uma licença do Intune atribuída. Se não tiver um usuário licenciado pelo Intune, o dispositivo precisará ter uma licença de dispositivo do Intune.

    Para obter mais informações sobre o licenciamento do Intune, confira Licenciamento do Microsoft Intune e o Guia de planejamento do Intune.

  • Um dispositivo que já esteja ativado tem de ser apagado antes de poder ser inscrito corretamente com a inscrição automatizada de dispositivos. Depois de o apagar, mas antes de o ativar novamente, pode aplicar o perfil de inscrição. Confira Configurar um iPhone, iPad ou iPod touch existente

  • Se estiver fazendo o registro com o ADE e afinidade de usuário, o seguinte erro poderá ocorrer durante a configuração:

    The SCEP server returned an invalid response.

    É possível resolver esse erro tentando baixar o gerenciamento novamente dentro de 15 minutos. Após 15 minutos, tem de efetuar a reposição de fábrica do dispositivo para resolve o erro. Este erro ocorre devido a um limite de tempo de 15 minutos nos certificados SCEP, que é imposto para segurança.

Para saber mais sobre a experiência do usuário final, confira Registrar seu dispositivo iOS/iPadOS no Intune usando o ADE.

Inscrever novamente um dispositivo

Conclua estes passos para inscrever novamente um dispositivo que já tenha passado pela inscrição automatizada de dispositivos.

  1. Existem duas opções para repor o dispositivo:
    • Limpe o dispositivo no centro de administração do Microsoft Intune.
    • Retire o dispositivo no centro de administração e, em seguida, reponha as definições de fábrica do dispositivo com a aplicação Definições, o Apple Configurator 2 ou o iTunes.
  2. Ative o dispositivo e siga os passos apresentados no ecrã no Assistente de Configuração para obter o perfil de gestão remota.

Renovar um token do Registro de Dispositivo Automatizado

É importante renovar o token do programa de inscrição anualmente. O centro de administração do Intune mostra a data de expiração.

  • Se a senha da ID da Apple for alterada para o usuário que configurou o token no Apple Business Manager, renove o token do programa de registro no Intune e no Apple Business Manager.
  • Se o usuário que configurou o token no Apple Business Manager sair da organização, renove o token do programa de registro no Intune e no Apple Business Manager.
  • Quando altera o ID Apple utilizado para criar o token do ADE, a alteração não afeta os dispositivos atualmente inscritos com esse token, até que se reinscrevam. Este comportamento é diferente do certificado do Serviço Apple Push Notification (APNS) utilizado para o inquilino. O certificado APNS pode ser alterado com a ajuda do Suporte da Apple. Caso contrário, para fazer alterações, todos os dispositivos têm de se inscrever novamente.

Renovar seus tokens

  1. Acesse business.apple.com e entre com uma conta que tenha função de Administrador ou de Gerenciador de Registros de Dispositivo.

  2. Selecione Configurações. Em Servidores MDM, selecione o servidor MDM associado ao arquivo de token que deseja renovar. Selecione Transferir Token.

    Captura de tela que mostra como renovar e baixar um token da Apple no Apple Business Manager.

  3. Selecione Baixar Token do Servidor.

    Observação

    Conforme informado no prompt, não selecione Baixar Token do Servidor se você não pretende renovar o token. Fazer isso invalidará o token que está sendo usado pelo Intune (ou por qualquer outra solução de MDM). Se você já baixou o token, prossiga com as próximas etapas até que ele seja renovado.

  4. Depois de transferir o token, aceda a Microsoft Intune centro de administração.

  5. SelecioneInscriçãode Dispositivos>.

  6. Selecione Tokens do programa de inscrição.

  7. Selecione o token.

  8. Selecione Renovar token. Introduza o ID Apple utilizado para criar o token original (se ainda não estiver preenchido):

    Captura de tela que mostra a página Renovar token.

  9. Carregue o token recém-baixado.

  10. Selecione Avançar para ir para a página Marcas de escopo. Atribua marcas de escopo se desejar.

  11. Selecione Renovar token. Aguarde pela confirmação de que a renovação do token está concluída.

    Captura de tela que mostra a mensagem de confirmação.

Excluir um token do Registro de Dispositivo Automatizado do Intune

Você pode excluir um token do perfil de registro do Intune, desde que:

  • Nenhum dispositivo esteja atribuído ao token.
  • Nenhum dispositivo esteja atribuído ao perfil padrão.
  • Não há nenhum perfil de registro nesse token.

Para excluir um token do perfil de registro:

  1. No Microsoft Intune centro de administração, aceda aInscrição de Dispositivos>.
  2. Selecione o separador Apple .
  3. Escolher Tokens do Programa de Inscrição
  4. Selecione o token e selecione Dispositivos.
  5. Exclua todos os dispositivos atribuídos ao token.
  6. Regresse aos tokens do programa de inscrição. Selecione o token e selecione Perfis.
  7. Se houver um perfil padrão ou qualquer outro perfil de registro, todos eles deverão ser excluídos.
  8. Regresse aos tokens do programa de inscrição. Selecione o token e selecione Excluir.

Limitações

Estes ecrãs do Assistente de Configuração não funcionam corretamente em dispositivos com o iOS/iPadOS 14.5 e posterior:

  • Senha
  • Touch ID e Face ID

Oculte ambos os ecrãs em dispositivos com o iOS/iPadOS 14.5 e posterior. Se quiser exigir códigos de acesso nesses dispositivos, crie uma política de configuração de dispositivos ou uma política de conformidade com requisitos de código de acesso. Depois de o utilizador se inscrever e receber a política, o requisito de código de acesso será iniciado.

Próximas etapas

Para obter uma descrição geral dos requisitos dos utilizadores do dispositivo, veja Tarefas de utilizador final do ADE.